Categoria: ataque

American Express confirma roubo de dados de clientes por entidade terceira

A American Express encontra-se a alertar alguns dos seus clientes para a possibilidade de alguns dos seus dados pessoais terem sido expostos por uma entidade terceira que trabalha com a empresa.

Segundo o comunicado da entidade, a American Express não terá sido diretamente a entidade afetada, mas sim um parceiro da empresa, que poderia conter alguns dados dos clientes da mesma. Esta entidade terá sido alvo de um ataque informático, de onde a informação terá sido recolhida.

A entidade afirma que o ataque pode ter comprometido não apenas informação dos clientes, com dados pessoais, mas também dados de pagamento usados em várias instituições, o que inclui os dados do cartão de crédito.

Os atacantes podem ter obtido acesso também aos números das contas de clientes American Express, juntamente com nomes e datas de validade dos seus cartões. De momento ainda se desconhece o número de clientes potencialmente afetados por este roubo de dados.

Embora a empresa tenha indicado que o ataque terá ocorrido de uma entidade externa, o comunicado da mesma não deixou detalhes sobre a entidade em questão. A empresa afirma estar, no entanto, a trabalhar com a mesma para resolver a situação, tendo as autoridades sido igualmente alertadas.

A empresa encontra-se ainda a analisar os clientes potencialmente afetados por este ataque, de forma a informar diretamente os mesmos. A empresa sublinha ainda que, caso os clientes sejam afetados por transações fraudulentas derivado deste roubo de dados, não terão os seus fundos comprometidos, com a empresa a garantir a devolução dos mesmos.

Ainda assim, será recomendado que os clientes de cartões American Express tenham particular atenção a possíveis esquemas e burlas usando esta informação, bem como mantenham as transações atentas para potenciais roubos.

06/03/2024
Ucrânia afirma ter atacado sistemas do Ministério da Defesa Russo

As autoridades da Ucrânia afirmam ter realizado um ataque informático contra o Ministério da Defesa da Rússia, onde terão invadido os sistemas da entidade e roubado documentos sensíveis.

Em comunicado, as autoridades ucranianas confirmaram ter realizado um ataque coordenado contra os sistemas do Ministério da Defesa Russo, de onde foram obtidas informações sensíveis da organização, nomeadamente software usado para encriptar mensagens da entidade, vários documentos e relatórios da organização governamental, com pedidos e ordens do governo de Putin, entre outros dados críticos.

As autoridades partilharam ainda quatro imagens onde, alegadamente, se encontram os documentos obtidos dos sistemas russos, e apresentam algumas das informações que se terá obtido acesso.

No entanto, embora as autoridades ucranianas tenham confirmado o ataque, não partilharam informações concretas sobre os dados roubados das entidades russas.

Ao mesmo tempo, o Ministério da Defesa Russo não deixou qualquer comentário relativamente ao ataque até ao momento.

06/03/2024
Grupo de ransomware BlackCat terá encerrado atividades em rumores de “scam”

O grupo de ransomware BlackCat encontra-se a realizar um alegado “scam”, tendo encerrado as suas atividades, alegando que a infraestrutura dos mesmos foi apreendida, enquanto fica com o dinheiro dos afiliados do grupo.

O grupo confirmou ainda que vai vender o código fonte do seu malware, pelo preço de 5 milhões de dólares. A partir de um fórum na dark web, um alegado membro do grupo afirma que o mesmo terá decidido encerrar o projeto, alegando que as autoridades teriam acesso à infraestrutura, mas não foram fornecidos detalhes adicionais.

Vários analistas, no entanto, indicam que o grupo não terá sido alvo de uma rusga das autoridades, mas sim decidiram aproveitar o momento para enganar os afiliados, ficando com o dinheiro dos ataques realizados recentemente.

O investigador Fabian Wosar afirma que o grupo apenas se encontra a apresentar uma falsa mensagem, que estaria alojada em outro site do grupo no passado. As autoridades também terão indicado que não possuem qualquer informação sobre a apreensão dos sistemas do grupo, e não se encontra ativo nenhum processo de apreensão dos sistemas pelas mesmas.

Embora ainda não existe uma confirmação oficial de que se trata de um “scam”, alguns afiliados afirmam que o grupo terá encerrado as suas operações depois de ter obtido um pagamento de 22 milhões de dólares, alegadamente do ataque de ransomware realizado à Change Healtcare.

Esta fonte terá ainda indicado que o grupo obteve cerca de 350 Bitcoins associados a este pagamento, o que totaliza os 23 milhões de dólares, tendo posteriormente repartido esse valor em várias carteiras para começar a realizar a “lavagem” do dinheiro virtual.

A fonte indica que o grupo terá encenado a apreensão dos sistemas pelas autoridades, para dar mais credibilidade ao esquema, enquanto fica com o dinheiro dos afiliados que usaram o seu ransomware. Ao mesmo tempo, este encontra-se a tentar obter ainda mais fundos com a venda do código fonte do seu ransomware por 5 milhões de dólares.

05/03/2024
Coreia do Norte alerta para ataques da Coreia do Sul a fabricantes de semicondutores

A National Intelligence Service (NIS) na Coreia do Sul encontra-se a emitir um alerta para o possível ataque de grupos na Coreia do Norte, com relações ao governo local, sobre ataques para fabricantes de semicondutores.

A NIS afirma que o ataque contra fábricas de produção de semicondutores aumentou consideravelmente durante a segunda metade de 2023, mas recentemente este atingiu novos picos. O alvo parece ser dispositivos vulneráveis com ligação para a internet, que são a porta de entrada para os atacantes poderem obter acesso a redes internas.

Feito isso, os atacantes tentam obter dados das entidades, nomeadamente conteúdos sensíveis ou confidenciais sobre a produção dos semicondutores. A entidade afirma que os atacantes usam técnicas avançadas para a exploração de falhas em dispositivos que podem ter ligações externas, mas não se encontrem atualizados.

Os hackers tentam ainda obter acessos por meios mais tradicionais, como ataques de phishing e outros esquemas, tentando contornar as tradicionais medidas de segurança que essas entidades possam ter.

A entidade indica como exemplo dois ataques, que ocorreram em Dezembro de 2023 e Fevereiro de 2024, onde os atacantes terão obtido acesso aos sistemas internos das organizações, e contornaram as tradicionais medidas de proteção para roubar dados sensíveis das mesmas. O nome das vítimas não foi revelado no relatório, mas as autoridades afirmam ter entrado em contacto com as mesmas para expor a situação e ajudar na resolução dos problemas.

É importante relembrar que a Coreia do Sul é a casa de duas das maiores fabricantes de semicondutores no mercado: Samsung Electronics e SK Hynix. Estas duas entidades são responsáveis por quase 73% do mercado global de DRAM e 51% de NAND.

05/03/2024
Malware GTPDOOR pode infetar redes de operadoras de telecomunicações

Um investigador de segurança revelou ter descoberto uma variante de malware para Linux, conhecida como GTPDOOR, que pode abrir portas para ataques contra operadoras móveis.

Este malware foca-se em atacar os sistemas adjacentes ao GRX nas operadoras, e pode permitir o acesso direto aos sistemas internos das mesmas caso o ataque seja realizado com sucesso.

O GRX é um sistema usado pelas operadoras de telecomunicação para facilitar o roaming de serviços entre diferentes áreas e redes. Este malware foca-se nos sistemas adjacentes ao GRX, nomeadamente o GPRS Support Node (SGSN), Gateway GPRS Support Node (GGSN), e P-GW (Packet Data Network Gateway (4G LTE).

O investigador HaxRob afirma que o malware encontra-se possivelmente associado com campanhas de spyware, pertencentes ao grupo “LightBasin”, com o objetivo de recolher dados em ataques diretos para as operadoras a nível global.

O investigador afirma que alguns samples do malware foram enviados para o VirusTotal em 2023, mas estariam a passar como indetetáveis na maioria dos softwares de segurança.

Caso o malware tenha sucesso nas suas atividades, pode permitir criar um backdoor na rede interna das operadoras, o que permitiria o acesso de terceiros à infraestrutura base das mesmas.

Os detalhes do malware podem ser verificados no artigo escrito pelo investigador sobre o malware, bem como medidas de prevenção que podem ser implementadas na firewall e outros sistemas de segurança.

04/03/2024
IBM revela novo SSD capaz de bloquear ataques de ransomware

Os ataques de ransomware fazem cada vez mais vítimas, e embora as proteções contra os mesmos tenham também vindo a evoluir, ainda é complicado de prevenir os mesmos por inteiro.

A pensar nisso, a IBM apresentou agora uma solução algo “radical”, mas que pode ser bastante importante para quem pretenda garantir a segurança dos seus dados digitais. A empresa revelou um novo disco SSD, o qual usa Inteligência Artificial para identificar possíveis ataques de ransomware.

A medida é feita a nível do próprio disco, portanto não requer qualquer software e funciona em qualquer sistema. Quando um potencial ataque de ransomware é identificado, o disco “bloqueia” as suas atividades, impedindo que o mesmo possa encriptar um elevado volume de dados.

De momento, esta tecnologia encontra-se focada sobretudo para sistemas empresariais e servidores, portanto não é algo que esteja ao alcance do consumidor em geral. No entanto, a tecnologia pode vir a revelar-se importante para o futuro, como uma ferramenta adicional para prevenir este género de ataques.

Esta tecnologia monitoriza constantemente a leitura e escrita de dados no disco, sendo que, quando identifica padrões que podem ser considerados de atividades de ransomware, aplica um bloqueio geral do disco, prevenindo a escrita ou alteração dos dados no mesmo.

Como referido anteriormente, estes discos encontram-se atualmente focados para sistemas empresariais ou de servidores, e ainda deve demorar algum tempo até que venha a ficar acessível para utilizadores em geral.

02/03/2024
20 milhões de utilizadores do Cutout.Pro afetados em novo leak

A plataforma de IA Cutout.Pro foi alvo recentemente de um ataque, do qual foram roubados dados sensíveis de utilizadores registados na plataforma. No total, foram roubados dados de quase 20 milhões de utilizadores, incluindo emails, passwords encriptadas, endereços IP e nomes.

O Cutout.Pro é uma plataforma de edição de fotos e vídeos, que usa IA para algumas das suas funcionalidades. Durante o fim de semana passado, alguém sobre o nome de “KryptonZambie” alegava ter à venda a base de dados da plataforma, num ficheiro de 5.93 GB.

No total, o ficheiro conta com 41.4 milhões de registos, e mais de 20 milhões de endereços de email únicos, que correspondem aos utilizadores registados na plataforma. O vendedor alegava ainda ter acesso aos sistemas da entidade, o que indicava que a empresa não teria conhecimento do roubo de dados.

Os dados recolhidos desta lista foram, entretanto, colocados no site Have I Been Pwned (HIBP), sendo que os utilizadores podem verificar se os seus dados foram afetados procurando no site pelo endereço de email.

Embora os ficheiros tivessem sido inicialmente colocados à venda, os mesmos acabariam por ser disponibilizados gratuitamente dentro do próprio canal do Telegram do vendedor, levando a que ficasse amplamente disponível.

De forma oficial, a Cutout.Pro ainda não confirmou a falha de segurança que levou ao roubo dos dados. No entanto, várias fontes e analistas apontam que os dados aparentam ser legítimos, indicando que terá sido um ataque realizado diretamente à plataforma.

Se possui uma conta neste serviço, o recomendado será que verifique se foi um dos afetados a partir do site do Have I Been Pwned (HIBP).

29/02/2024
Grupo de ransomware afirma ter roubado dados de hotel de luxo em Lisboa

O grupo de ransomware Trigona afirma ter realizado um ataque ao Hotel Avenida Palace, um hotel de luxo situado no centro de Lisboa.

A partir do site na rede TOR do grupo, este afirma ter realizado o ataque ao grupo de hotéis, de onde se encontra englobado o Hotel Avenida Palace. O grupo divulgou ainda alguns dos conteúdos que terão sido obtidos do ataquem, onde se encontram dados de clientes, incluindo imagens de cartões de cidadão e emails trocados com a instituição. Surgem ainda dados relativos a faturas e documentos de reservas feitos em plataformas onde o hotel se encontra registado.

O grupo encontra-se atualmente a vender os dados roubados, com um valor inicial de venda nos 1,000,000.00 de dólares. Caso não seja encontrado comprador no prazo de 27 dias, os dados passam a ser vendidos para quem tenha oferecido a licitação mais alta.

O Hotel Avenida Palace é classificado como um hotel de luxo, de cinco estrelas, e regularmente alberga algumas personalidades de renome. Este encontra-se localizado numa zona histórica de Lisboa.

29/02/2024
Epic Games nega ter sido alvo de ataque ransomware e roubo de dados

Durante o dia de ontem, o grupo de ransomware Mogilevich alegou na sua plataforma da rede Tor que teria atacado a Epic Games, de onde obteve vária informação interna da empresa.

O grupo alegava ter mais de 189 GB de dados associados com a empresa, entre os quais se encontrava emails, senhas, dados de pagamento e código fonte. O grupo estaria a vender os dados para os interessados e que pagassem mais.

No entanto, o grupo não forneceu nenhuma prova dos dados obtidos, o que levantou algumas suspeitas. E agora, a Epic Games veio pronunciar-se sobre o caso.

De acordo com a empresa, não existem indícios de que o grupo de ransomware Mogilevich tenha realizado o roubo de qualquer informação interna da mesma. Ao mesmo tempo, a Epic Games afirma que o grupo não contactou a mesma com qualquer resgate, nem existem provas dos dados efetivamente roubados.

A única informação existente sobre o potencial roubo de dados será apenas da mensagem que o próprio grupo deixou na sua plataforma, onde normalmente coloca os conteúdos à venda.

A própria Epic Games afirma que também não existem indícios que os seus sistemas tenham sido de alguma forma comprometidos.

Até ao momento o grupo não deixou qualquer informação adicional sobre o ataque, nomeadamente a nível de provas dos dados obtidos da entidade.

28/02/2024
Ataque DDoS leva a fatura de 104 mil dólares em tráfego para pequeno site estático

Não existe tráfego grátis, e em plataformas cloud, isso é bastante notável. Muitas plataformas cloud cobram aos utilizadores o tráfego que os seus sistemas geram ao longo do mês, mas um utilizador do Reddit revelou um caso que pode ser considerado um pesadelo para alguns.

A plataforma do Netlify fornece serviço de alojamento cloud, que permite aos programadores colocarem os seus projetos online – incluindo de forma gratuita com alguns limites. No entanto, o tráfego destas plataformas é pago.

Um utilizador do Reddit revelou ter sido recentemente surpreendido com uma conta de quase 104 mil dólares, derivado do uso de tráfego que foi registado por um site estático que se encontrava nesta plataforma.

De acordo com o utilizador, este foi surpreendido quando recebeu um email da empresa, indicando que teria para pagar 104 mil dólares. No que o mesmo considerou ser inicialmente uma mensagem de spam, rapidamente se veio a confirmar como real, quando este verificou a sua conta na Netlify.

O utilizador afirma que possui um site estático simples, com menos de 200 visitas diárias, que raramente ultrapassava mais de 10 GB de tráfego mensal. No entanto, durante quatro dias, o site registou fortes ataques DDoS, que elevaram o uso de trafego do mesmo de forma considerável.

Apenas no dia 16 de Fevereiro, este site registou 60.7TB de tráfego total, no que se suspeitou de ser um ataque DDoS.

Em contacto com o suporte da empresa, chegou-se à conclusão de que o site continha também um pequeno ficheiro MP3, que terá sido o alvo do ataque, e que totalizou 164.1TB de tráfego durante vários dias.

Depois de entrar em contacto com o suporte da Netlify devido aos custos elevados da sua fatura. O suporte da empresa terá indicado que, efetivamente, o tráfego teria sido originário de um possível ataque DDoS, realizado usando IPs da plataforma cloud da Google, e com user-agent de sistemas antigos ou inexistente – que é coincidente com um ataque DDoS.

Face à situação, a empresa indicou que possui o habito de reduzir o valor da fatura, em caso de ataques, para 20% do valor total a pagar, o que totalizaria 20.900 dólares. No entanto, o suporte ainda chegou a baixar o valor para 5%, que ainda assim totalizava mais de 5225 dólares.

Obviamente, o utilizador afetado não estaria satisfeito, tendo em conta ainda tratar-se de um valor consideravelmente elevado. Nas mensagens com o suporte, o mesmo indica que plataformas de cloud como a Netlify deveriam ter sistemas de alerta para este género de situações, ou proteções contra ataques DDoS de forma nativa.

Um sistema de alerta de custos poderá ter alertado o utilizador de um aumento anormal do tráfego no site e das despesas envolvidas, o que daria tempo para analisar a situação.

Depois do caso ter ficado viral nas redes sociais, um utilizador sobre o nome de “bobfunk”, que afirma ser o CEO da Netfly, indicou em comentário no portal Hacker News que o utilizador não iria ser cobrado por este valor.

Embora a empresa tenha recuado na decisão, o utilizador também deixou a indicação do que poderia acontecer caso a história não tivesse ficado viral, onde possivelmente outros utilizadores podem ter sido igualmente afetados com custos bastante avultados de tráfego anormal nas suas contas, derivado de ataques DDoS.

Este género de histórias não é propriamente algo único. Existem plataformas cloud que apresentam os custos do tráfego apenas após um determinado período de tempo, e não possuem sistemas de alerta para o caso de tráfego anormal que seja criado nas mesmas.

27/02/2024
Hackers russos viram atenções para atacar plataformas cloud

As autoridades de vários países encontram-se a alertar para uma nova vaga de ataques, realizadas por grupos de hackers na Rússia, que possui como alvo as infraestruturas na cloud das empresas.

De acordo com as mesmas, grupos organizados de hackers com ligações ao governo da Rússia encontram-se a alterar algumas das suas formas de ataque, direcionando os mesmos para as plataformas cloud das vítimas.

Esta mudança surge derivado de existirem cada vez mais empresas a adotarem infraestruturas na cloud para as suas atividades diárias, o que obriga os grupos a terem de alterar as suas formas de ataque.

Estes grupos encontram-se a adaptar às mudanças, deixando de explorar formas iniciais de acesso, como através de falhas em software ou vulnerabilidades nas redes internas, para atacarem diretamente os serviços cloud das empresas e, desta forma, obterem as informações necessárias para o acesso.

Por entre as formas de ataque encontra-se as de brute-force a senhas – tentativas aleatórias de senhas – ou a tentativa de acesso usando dados roubados de outros leaks. Outra técnica consiste em usar contas inativas de funcionários ou administradores antigos para, assim, se obter acesso à infraestrutura.

As autoridades recomendam que os administradores de plataformas cloud de grandes empresas adotem medidas de segurança para as mesmas, como o uso obrigatório de meios de autenticação em duas etapas, em conjunto com a regular verificação de segurança das contas e atualização do software para corrigir potenciais falhas.

É ainda recomendado que as empresas tenham planos criados para potenciais ataques, de forma não apenas a garantir a proteção, mas também a resolver rapidamente potenciais ataques que possam ocorrer.

26/02/2024
Insomniac Games alerta funcionários devido a ataque ransomware

A Insomniac Games, editora de jogos subsidiária da Sony, encontra-se a alertar os seus funcionários para um novo potencial de ataque contra os mesmos, depois da entidade ter sido alvo de um ataque de ransomware em Novembro do ano passado.

A editora é conhecida por vários títulos populares no mercado, como Spider-Man 2, que foi lançado recentemente para a PlayStation 5, e encontra-se agora a trabalhar em Wolverine.

Em dezembro de 2023, a Sony confirmou que um ataque de ransomware à Insomniac Games terá levado ao roubo de 1.3 milhões de ficheiros da rede interna da empresa, incluindo informações sobre jogos da mesma, e também dados pessoais de alguns dos seus funcionários.

O ataque terá sido realizado pelo grupo de ransomware Rhysida, que exigia o pagamento de 2 milhões de dólares para evitar a publicação dos conteúdos – algo que não aconteceu. Como tal, o grupo divulgou mais de 1,67 TB de materiais associados com a editora.

Por entre os dados roubados encontra-se informação pessoal de vários funcionários da empresa, incluindo os seus cartões de identificação e outros conteúdos pessoais.

Numa mensagem interna, a empresa deixa agora mais detalhes para os funcionários sobre os conteúdos efetivamente roubados. De acordo com a mesma, após a investigação do incidente, a entidade afirma que o grupo terá roubado informações sensíveis e pessoais dos funcionários, incluindo números de segurança social e outros elementos de identificação, que podem agora começar a ser usados contra os mesmos.

A empresa vai ainda oferecer aos seus funcionários serviços da ID Watchdog, uma entidade focada na proteção de identidade, de forma a evitar possíveis usos da informação para outros crimes. Foi ainda estabelecida uma linha de contacto direta para os funcionários afetados, onde estes podem obter mais informações sobre o incidente e obter eventual ajuda.

De momento ainda se desconhece o número exato de funcionários que terão sido afetados por este ataque, sendo que a Sony não revelou números concretos. A empresa indica, no entanto, que a investigação sobre o incidente ainda se encontra a decorrer.

26/02/2024
LockBit volta ao ativo depois de mega operação das autoridades

Durante a semana passada, as autoridades do Reino Unido revelaram uma das maiores operações contra um dos maiores grupos de ransomware no ativo. O grupo LockBit é atualmente um dos mais reconhecidos na área, tendo começado as suas atividades em meados de 2019.

As autoridades revelaram recentemente a operação Cronos, onde foram apreendidos vários servidores e sistemas usados pelo grupo para os seus ataques. O site do grupo, que anteriormente teria as vitimas do mesmo, passou também a ser controlado pelas autoridades, que o usaram para partilhar informações sobre a operação, o grupo, e ajuda para as vítimas do mesmo.

No entanto, embora a operação tenha levado ao desmantelamento dos sistemas usados pelo grupo para os seus ataques, e de vários sites onde essa informação era partilhada, parece que não impediu inteiramente as atividades deste.

Dentro da rede TOR, o grupo encontra-se agora de novo no ativo, tendo já um novo site .onion, e contando também com uma lista de novas vítimas. Isto indica que as atividades do grupo ainda se encontram bastante ativas, apesar do impacto que a operação das autoridades teve.

Ao mesmo tempo, o grupo veio publicamente deixar uma mensagem sobre o sucedido. Na sua mensagem, o grupo afirma que as autoridades apenas obtiveram acesso à infraestrutura antiga devido à “preguiça” do grupo em atualizar as suas infraestruturas.

Mais concretamente, este afirma que as autoridades terão explorado uma falha relativamente recente no PHP, que terá levado a obter detalhes dos sistemas, e eventualmente, ao controlo dos mesmos. Esta falha terá sido explorada porque os sistemas usados pelo grupo não estariam atualizados corretamente.

Na mesma mensagem, o grupo deixa ainda claro que lançou o novo site, sobre novos servidores, com atualizações em linha. Além disso, o grupo afirma ainda que irá recompensar qualquer um que encontre falhas de segurança nos novos sistemas.

O grupo alega que as autoridades apenas terão ficado interessadas no grupo depois de ter ocorrido um ataque de ransomware à Fulton County, que levou a que vária informação sensível sobre o caso em ativo nos tribunais dos EUA fosse igualmente roubada. Face a isto, o grupo afirma que irá começar a focar-se em realizar mais ataques para entidades governamentais dos EUA, de forma a pressionar as mesmas.

Por fim, o grupo alega ainda que, das 1000 chaves de desencriptação obtidas pelas autoridades, estas diriam respeito a malware relativamente simples, que terá sido obtido de sistemas de encriptação usados por afiliados “de entrada”, com pedidos de resgate relativamente pequenos. Os sistemas que as autoridades tiveram acesso teriam ainda 20.000 chaves das quais estariam protegidas, e não foram obtidas, de um total de quase 40.000 chaves criadas desde o inico das operações do grupo.

Face à mensagem, fica claro que as atividades do grupo não devem parar, mesmo com a operação das forças de segurança. A lista de vítimas encontra-se agora a crescer no novo site da rede TOR, e espera-se que mais informações venham a ser reveladas em breve.

Ao mesmo tempo, a operação das autoridades, mesmo não tendo terminado com o grupo, causou danos graves na sua reputação e na informação que o mesmo possui, que pode influenciar as atividades futuras do mesmo, mas também de outros grupos de ransomware ligados a este.

25/02/2024
Joomla corrige cinco falhas que podem permitir ataques

Os administradores de sites baseados em Joomla são aconselhados a atualizarem rapidamente as suas instalações. Foram recentemente descobertas cinco vulnerabilidades no software, que colocam os sites em risco de serem atacados.

As falhas foram identificadas em todas as versões do Joomla, tendo sido corrigidas com as atualizações 5.0.3 e 4.4.3. No entanto, todas as anteriores devem ser consideradas vulneráveis.

Se exploradas, as falhas podem permitir que os atacantes executem código remotamente, potencialmente comprometendo informação dos sites e dos seus conteúdos. Tudo o que os atacantes precisam será que o administrador aceda a um link, especificamente criado para explorar a falha, e que procede com o ataque.

Se os administradores acederem ao link – que pode ser enviado em campanhas de phishing ou por meios sociais – estes estão a dar diretamente acesso ao painel de administração do site para os atacantes.

De notar que, para explorar as falhas, é necessária uma intervenção humana. As falhas não podem ser diretamente exploradas pelos atacantes, sendo necessário que o administrador do site Joomla proceda com o acesso ao link malicioso.

De momento os detalhes das falhas não foram inteiramente revelados, de forma a permitir que um número mais elevado de sites possam atualizar as suas versões. Os investigadores acreditam que a falha não seria do conhecimento público, mas tendo em conta agora a sua descoberta, é possível que venha a ser ativamente explorada no futuro.

22/02/2024
Discord usado para largas campanhas de spam contra o Mastodon

Durante o passado fim de semana, grupos de atacantes usaram o Discord para organizar ataques de spam contra vários servidores do Mastodon, que os detalhes agora confirmam que a plataforma de mensagens não terá tomado ações contra os mesmos antes destes acontecerem, e alguns ainda se encontram a ser ativamente usados.

O caso terá começado a ocorrer no passado fim de semana, quando vários grupos de hackers começaram a organizar campanhas de spam contra servidores baseados na rede do Mastodon. Estes grupos terão usado canais criados via o Discord para propagarem os seus planos, mas também software que viria a ser usado nos ataques.

Em alguns casos, foram mesmo criados bots que usam a própria infraestrutura do Discord para realizar o ataque. Usando bots integrados nos canais e com o protocolo ActivityPub, os atacantes podem lançar ataques diretamente pelos sistemas do Discord, enviando milhares de mensagens de spam para servidores do Mastodon a nível global.

Embora o Discord tenha sido notificado da existência destes canais de comunicação, alguns dos quais foram informados pelos administradores de instâncias do Mastodon afetadas, a empresa não realizou qualquer ação. Em alguns casos, as mensagens de informação partilhadas pelos administradores das instâncias são inteiramente ignoradas pelas equipas de moderação do Discord.

De acordo com o portal TechCrunch, vários administradores de instâncias do Mastodon confirmam que os ataques terão sido originários do Discord, e existem provas para tal. No entanto, embora essa informação tenha sido enviada parta a plataforma de mensagens, nada foi feito.

Eugen Rochko, criador da rede do Mastodon e administrador da instância mastodon.social, afirma que estes ataques de spam são consideravelmente mais difíceis de controlar, visto que possuem como foco sobretudo instâncias mais pequenas na rede, que normalmente possuem equipas de moderação mais pequenas.

Algumas destas instâncias encontram-se abertas publicamente, o que agrava ainda mais a situação, e torna ainda mais complicado lidar com a enchente de contas usadas para spam.

Existem algumas fontes que apontam a origem destas ondas de spam como parte de uma disputa entre jovens em dois canais do Discord rivais, onde o Mastodon terá sido “apanhado” no meio da guerra cruzada.

Kevin Beaumont, um especialista em cibersegurança, compara esta campanha de spam com um ataque que ocorreu em 2016, onde um grupo de jovens com alguns conhecimentos técnicos tentou ganhar dinheiro com servidores de Minecraft. No entanto, no processo para tal, terão conseguido criar um sistema que afetou algumas das maiores plataformas na internet, como o Reddit e Spotify.

Estas campanhas de spam ainda parecem encontrar-se em força, tendo em conta que muitos dos servidores de Discord usados para as campanhas ainda se encontram ativos. Em comunicado, um porta-voz do Discord afirma que a empresa possui regras claras sobre servidores usados para propagação de conteúdos e temas ilegais, onde se encontram a organização de ataques em larga escala.

21/02/2024
O que sabemos da investigação ao grupo de ransomware LockBit

De forma recente, um dos grupos de ransomware mais conhecidos no mercado, o LockBit, foi desmantelado numa mega operação das autoridades do Reino Unido.

O grupo era um dos mais reconhecidos, e também dos mais antigos, tendo começado as suas atividades em meados de 2019. Ao longo dos anos, este terá atacado milhares de empresas, em algumas situações até mesmo instituições que outros grupos de ransomware não se focavam – como hospitais e centros críticos de segurança.

Numa operação conjuga, várias autoridades em diferentes países desmantelaram praticamente todas as operações do grupo, mas também deixaram publicamente detalhes do mesmo. Os sites do grupo, onde anteriormente se encontravam as vítimas e dados associados às mesmas, encontra-se agora a apresentar informações sobre o grupo, os seus ataques, formas das vítimas tentarem recuperar conteúdos encriptados e outras informações.

No entanto, esta operação também permitiu conhecer um pouco de como funciona o submundo do ransomware e dos grupos mais reconhecidos, e como as autoridades realizam as suas tarefas para os identificar.

> Pagamento nem sempre leva a dados eliminados

Em primeiro lugar, um dos principais pontos de um ataque ransomware encontra-se na extorsão das vítimas. Estas são levadas a pagar uma elevada quantia, para evitar que os seus dados sejam expostos online para qualquer um ver.

No entanto, ao que parece no caso do LockBit, o grupo não estaria a eliminar os dados que possuía, mesmo depois das vítimas pagarem. As autoridades afirmam que muitas das vítimas que pagaram ainda teriam os dados guardados nos sistemas do grupo, o que poderia abrir portas para que, futuramente, esses dados fossem maliciosamente usados.

O grupo, durante as suas operações e negociações, indicava às vítimas que depois do pagamento os dados seriam eliminados. No entanto, isso nem sempre acontecia, com as autoridades a confirmarem que existem ainda dados presentes de vítimas confirmadas que pagaram pelo resgate.

> Vulnerabilidades afetam até os maus da fita

Ao mesmo tempo, a investigação das autoridades também levou a uma curiosidade. Mesmo os grupos de ransomware, que atuam na margem da lei, possuem alguma lentidão a corrigir vulnerabilidades do software que usam.

De acordo com o grupo de investigação vx-underground, um dos motivos que terá levado às autoridades obterem acesso aos sistemas do LockBit terá sido a exploração de uma falha de segurança no PHP. Isso terá permitido aos investigadores acederem aos sistemas do grupo, e eventualmente, a terem controlo do mesmo.

Isto terá ocorrido porque os sistemas que eram usados pelo grupo ainda não se encontravam atualizados para corrigir estas falhas. Isso terá permitido às autoridades explorarem a mesma para realizarem as suas investigações.

> As investigações podem demorar meses

Embora apenas agora as autoridades tenham confirmado o desmantelamento do grupo, a investigação ao mesmo teria começado muito antes. A operação Cronos, que levou a esta atividade, terá sido iniciada anos antes da confirmação.

Estima-se que a investigação começou em Abril de 2022, mas existe a possibilidade do grupo já se encontrar na mira de algumas autoridades ainda antes disso.

> LockBit terá atacado milhares de empresas

O grupo era conhecido como um dos mais ativos no mercado, mas ao mesmo tempo, não se conhecia inteiramente a extensão dos ataques realizados. Embora os sites do grupo na rede Tor apresentassem uma listagem das empresas afetadas, o número é consideravelmente superior.

As autoridades afirmam que existem mais de 2000 empresas que foram afetadas pelo ransomware do LockBit, com o grupo a receber mais de 120 milhões de dólares em pagamentos das mesmas pelos resgates.

> Encerramento do LockBit pode afetar outros grupos

Embora o LockBit tenha sido um dos grupos mais reconhecidos no mercado, o seu desmantelamento agora pelas autoridades pode ter impacto também para outros grupos que atuam na mesma área.

Ivan Gennadievich Kondratiev, um dos detidos que geria as operações do LockBit, acredita-se que teria ligações com outros grupos igualmente populares de ransomware, como o REvil, RansomEXX e Avaddon.

Tendo em conta a sua detenção, isso pode ter impacto para outros grupos onde o mesmo atuava, que mesmo mantendo-se ainda em atividade, podem vir a começar também a ser alvo de investigações das autoridades.

A apreensão da infraestrutura do LockBit também pode vir a permitir obter informações sobre atividades de outros grupos de ransomware, o que pode vir a levar a ainda mais baixas durante os próximos tempos.

Não existe como negar que o desmantelamento do grupo de ransomware LockBit foi uma das atividades mais exaustivas das autoridades contra este género de crimes, e que certamente terá impacto para o futuro das mesmas e até para outros grupos que ainda se mantenham em atividade.

21/02/2024
Universidade de Cambridge alvo de ataque DDoS

A Universidade de Cambridge parece ser a mais recente afetada por um largo ataque DDoS, que se encontra a causar instabilidades em várias plataformas digitais da entidade.

Esta é apenas uma das várias entidades de ensino no Reino Unido que, durante os últimos dias, foram afetadas por vários e largos ataques DDoS, causando contratempos nas atividades das mesmas.

Várias fontes afirmam que diversos serviços associados com a instituição, entre os quais plataformas usadas para as tarefas de estudo e aulas, encontram-se inacessíveis derivado do ataque.

A Universidade já terá confirmado o ataque, indicando que se encontram a ser implementadas medidas para tentar mitigar o mesmo. Numa mensagem enviada internamente, a direção do departamento de informática da instituição afirma que se encontra a ser criado tráfego aleatório deliberadamente contra a instituição, de máquinas infetadas na internet em diferentes redes de botnet.

Este género de ataques tem vindo a ocorrer de forma recorrente contra várias instituições de ensino no Reino Unido, e no passado, a Universidade de Cambridge tinha sido uma das afetadas, levantando questões sobre a necessidade de melhoria dos sistemas informáticos da instituição.

20/02/2024
Grupo de ransomware Cactus confirma roubo de 1.5 TB de dados da Schneider Electric

O grupo de ransomware Cactus confirmou ter roubado mais de 1.5 TB de dados da empresa Schneider Electric, depois de um ataque que terá ocorrido no mês passado.

O grupo confirmou ter estado por detrás do ataque à Schneider Electric, que ocorreu durante o mês de Janeiro, e de onde a empresa já tinha confirmado que teria sido alvo do ataque. O grupo confirma agora a autoria do mesmo, tendo roubado cerca de 1.5 TB de dados associados com a entidade, clientes e parceiros.

Para comprovar o ataque, o grupo disponibilizou um ficheiro com 25 MB, contendo alguns dos dados roubados, e de onde se encontram fotos de passaportes e cartões de cidadão de vários clientes da empresa.

O grupo encontra-se agora a tentar extorquir a empresa, que caso não realize o pagamento, terá os dados publicamente revelados. De momento ainda se desconhecem detalhes sobre os dados que terão sido roubados, mas sabe-se que o ataque ocorreu na divisão de Sustentabilidade. Como tal, é possível que tenha alguns dos parceiros da entidade e de alguns dos seus clientes.

O grupo de ransomware Cactus é relativamente recente no mercado, tendo começado os seus ataques apenas em Março de 2023. O grupo é conhecido por realizar a extorsão das empresas relativamente aos dados roubados, usando várias técnicas para tentar obter acesso aos sistemas internos das mesmas – a partir de onde começa a recolher dados para posterior ataque.

19/02/2024
Vulnerabilidade afeta popular tema do WordPress

Uma falha identificada num popular plugin e tema do WordPress encontra-se a ser ativamente explorado para ataques, com o potencial de ser executado código PHP malicioso nos sites afetados pelo mesmo.

A falha afeta o tema Brick Builder, e os plugins usados com o mesmo, sendo que pode permitir que atacantes executem código PHP no site das vítimas – sem terem permissões para tal.

O Bricks Builder Theme é um tema considerado como “premium”, que conta com mais de 25.000 instalações ativas. O tema promove-se como sendo fácil de usar, personalizável e bastante simples de editar.

No entanto, a 10 de Fevereiro, um investigador de segurança conhecido como “snicco” terá revelado a descoberta de uma falha, que quando explorada, permite que código PHP potencialmente maliciosos seja executado nos sites com este tema.

A falha de segurança foi reportada aos criadores do tema, que a corrigiram a 13 de Fevereiro, com a versão 1.9.6.1. No entanto, muitos utilizadores podem ainda não ter realizado a atualização para a versão mais recente do mesmo, deixando em aberto o potencial para ataques.

De acordo com a entidade, de momento não existem relatos da falha ter sido explorada, mas uma vez que se encontra agora do conhecimento público, é bastante provável que comece a ser ativamente explorada para ataques.

A entidade responsável pelo tema recomenda que todos os clientes do mesmo atualizem para a versão mais recente o mais rapidamente possível, de forma a garantirem que se encontram protegidos deste potencial ataque.

19/02/2024
Ataque KeyTrap pode causar falhas DNS com apenas um pacote

Uma nova vulnerabilidade grave foi descoberta sobre o sistema de DNS, mais concretamente sobre a tecnologia Domain Name System Security Extensions (DNSSEC), que pode levar a que um domínio fique inacessível durante longos períodos de tempo.

A falha foi apelidada de “KeyTrap “, e afeta o próprio funcionamento dos sistemas DNSSEC em servidores DNS à escala global. Se explorada, esta falha pode levar a que um sistema de DNS fique totalmente inacessível em ataques DoS, bastando para tal o envio de um simples pacote para os mesmos.

Os servidores DNS são, basicamente, sistemas que permite converter os domínios na Internet – como tugatech.com.pt – para endereços IPs, que são usados para “ligar” os mesmos aos servidores corretos. Estes são uma parte bastante importante da internet, e servem como plataforma para permitir o correto funcionamento de vários sistemas.

O sistema DNSSEC, por usa vez, garante uma camada adicional de segurança para pedidos DNS, encriptando os conteúdos de forma a garantir que os mesmos não são alterados entre a origem e o servidor DNS de destino. Desta forma, os utilizadores podem garantir que se encontram a aceder ao local correto e que não foi maliciosamente modificado.

A falha KeyTrap encontra-se presente no DNSSEC faz mais de 20 anos, e foi descoberto por investigadores da National Research Center for Applied Cybersecurity ATHENE. Explorando a falha, um atacante pode realizar largos ataques contra sistemas DNS, causando atrasos na resolução de domínios ou até a sua indisponibilidade, bastando para tal um simples pacote.

Os investigadores demonstraram como é possível explorar esta falha para realizar longos e simples ataques, que podem causar graves problemas para sistemas de DNS em geral.

Um dos investigadores afirma que a falha é de tal forma grave que a mesma pode levar a que partes da internet fiquem completamente inacessíveis. Os investigadores afirmam ter trabalhado com empresas como a Google e Cloudflare para mitigar este problema desde Novembro de 2023.

De acordo com os investigadores, a falha estaria na própria implementação do DNSSEC, e acredita-se que esteja presente no mesmo desde meados de 1999. Portanto, a confirmar-se, a falha terá sido desconhecida durante mais de 25 anos.

Embora várias entidades gestoras dos maiores DNS a nível global tenham confirmado que estão a desenvolver correções para esta falha, a completa mitigação do mesmo pode levar a uma restruturação completa do DNSSEC .

19/02/2024
Grupo de ransomware Alpha ligado a membros do antigo grupo NetWalker

Vários investigadores de segurança confirmaram que o modelo de operação do grupos de ransomware Alpha possui indicações de ser bastante similar às operações do grupo “Netwalker”, que foi desmantelado depois de uma operação das autoridades em 2021.

O grupo Netwalker foi bastante ativo no meio, fornecendo ransomware-as-a-service (RaaS) entre Outubro de 2019 e Janeiro de 2021, até à altura em que as autoridades apreenderam a infraestrutura do mesmo – e basicamente ditaram o fim das operações. Embora ninguém do grupo tenha sido diretamente indiciado pelos crimes, as atividades do mesmo foram suspensas por tempo indeterminado – e o grupo desapareceu da lista de ataques.

No entanto, em Fevereiro de 2023, um novo grupo “Alpha” começou a surgir no mercado, e embora tenha mantido um perfil de baixo destaque, com pequenos ataques a serem realizados de tempos a tempos, parece que existem agora indícios que apontam para a possibilidade deste grupo ser formado por antigos membros do Netwalker.

Um relatório da empresa Neterich afirma que o grupo tem vindo a intensificar as suas atividades, e que o número de vítimas pode ser consideravelmente superior ao que se encontra no site oficial do mesmo -atualmente cerca de 9 entidades.

De acordo com Neterich, o pedido de resgate varia entre 0,272 BTC (13.200 dólares à taxa de câmbio atual) e até 100.000 dólares, dependendo provavelmente da dimensão da empresa da vítima.

A empresa de segurança Symantec também indica que, analisando o ransomware do grupo, e o modo de ataque, existem fortes indícios de que o mesmo estará ligado com membros do antigo grupo Netwalker. Existem bastantes semelhanças a nível do código do ransomware, e da própria forma como este infeta os sistemas, para se acreditar que venham da mesma fonte no final.

Embora ainda tenha as suas atividades bastante “ocultas” no meios de outros grupos de ransomware mais populares, muitos investigadores de segurança apontam que o grupo Alpha tem o potencial de vir a tornar-se bastante importante nos próximos meses.

17/02/2024
Wize labs reporta potencial falha de segurança

A Wyze Labs confirmou que se encontra a investigar um potencial incidente de segurança, que pode ter levado ao encerramento temporário de todas as plataformas da empresa desde o início do dia de ontem.

De acordo com a entidade, os problemas começaram a verificar-se durante o período da manhã do dia de ontem, sendo que a empresa indicou que se trataria de falhas a nível da ligação com a plataforma AWS. As falhas estariam a impedir os utilizadores de acederem às suas contas, ou realizarem o login corretamente.

O problema, no entanto, terá demorado mais de 24 horas, com a empresa a afirmar que estaria a trabalhar para resolver o mesmo. Os clientes começaram também a verificar que os seus dispositivos estariam a reiniciar de forma aleatória durante este processo.

Eventualmente, a empresa confirmou que iria desativar a aba de eventos dos dispositivos, depois de terem surgido indícios de que a falha poderá ter sido originada de um ataque – a empresa classificou como uma “falha de segurança”.

Embora a empresa não tenha deixado mais informações sobre o sucedido, ou sobre a falha de segurança em questão, alguns utilizadores encontram-se a reportar nas redes sociais que se encontram a verificar o feed de transmissão de outras contas e, possivelmente, de outros clientes nas suas câmaras.

A Wyze Labs ainda não confirmou oficialmente detalhes sobre o incidente, nem deixou comentários relativamente aos relatos dos clientes de acederem ao feed de outras pessoas.

17/02/2024
Microsoft e OpenAI alertam: existem grupos a usar IA para melhorar ciberataques

A Inteligência Artificial encontra-se a evoluir a passos largos, sendo que praticamente todos os meses são realizados avanços nesta área. No entanto, se existem usos benéficos da tecnologia, ao mesmo tempo a facilidade com que se pode aceder à mesma também permite que existem usos “menos bons”.

Não é de agora que existem relatos de cada vez mais grupos de cibercriminosos estarem a usar Inteligência Artificial para melhorar os seus ataques. No entanto, agora tanto a Microsoft como a OpenAI parecem ter confirmado igualmente essa ideia.

Num recente comunicado, tanto a Microsoft como a OpenAI confirmaram que os modelos de IA estão a ser usados para otimizar as estratégias de ataque para grupos do cibercrime. Isto inclui também as próprias ferramentas da OpenAI, como o ChatGPT.

As duas empresas afirmam que existem grupos do cibercrime, em países como a Rússia, Coreia do Norte e China, que usam a IA e as suas potencialidades para otimizarem estratégias para realizarem ataques, bem como desenvolverem scripts que podem levar a ataques bem sucedidos.

Um dos exemplos encontra-se no grupo “Strontium”, que possui ligações com grupos militares russos. Este grupo foi identificado como estando a usar IA para melhorar os seus ataques, de forma a compreender mais profundamente os protocolos de comunicação via satélite, de forma a poder explorar falhas e realizar ataques aos mesmos.

Também o grupo “Thallium”, com raízes na Coreia do Norte, encontra-se a usar IA para melhoras as suas práticas de phishing e campanhas para explorar falhas em diversos softwares, sobretudo com foco em espionagem.

As duas empresas afirmam que existem cada vez mais grupos a usar modelos de IA para realizarem este género de ataques ou melhorarem os mesmos. No entanto, ambas as empresas garantem também estar a implementar mais medidas para combater este uso da tecnologia, o que inclui o encerramento de contas associadas aos grupos, bem como regras mais rigorosas sobre conteúdos que a IA pode criar ou aceder.

No caso da Microsoft, a empresa afirma estar a trabalhar numa ferramenta conhecida como “Security Copilot”, que será focada para especialistas de segurança, com o objetivo de identificar ataques e compreender melhor como a tecnologia está a ser usada para melhorar os mesmos.

14/02/2024
Hackers roubam 1.79 mil milhões de tokens da PlayDapp

Um grupo de hacker terá recentemente roubado quase 1.79 mil milhões de tokens PLA, uma criptomoeda associada com o ecossistema PlayDapp, depois de terem conseguido obter acesso à chave privada da entidade.

A PlayDapp é uma plataforma que permite a transação de NFTs dentro de vários jogos, e possui uma comunidade de utilizadores focados na compra e venda dos mesmos em vários títulos sem intermediários.

De acordo com a empresa de segurança PeckShield, no dia 9 de Fevereiro, uma carteira não autorizada terá realizado a recolha de quase 200 milhões de tokens PLA, avaliados em mais de 36.5 milhões de dólares.

Desde então, a entidade confirmou que a chave privada da sua carteira principal terá sido comprometida, o que terá levado ao roubo mais de 1.79 mil milhões de tokens. Para evitar danos maiores, a entidade afirma que todos os tokens restantes foram transferidos para uma nova carteira, que se encontra segura.

A PlayDapp terá tentado entrar em contacto com a carteira associada ao atacante, para onde teriam sido transferidos os fundos, com uma mensagem onde ofereceria 1 milhão de dólares caso o mesmo devolvesse os fundos roubados. A empresa terá ainda indicado que, caso tal não fosse realizado, as autoridades iriam ser notificadas e seria iniciada uma investigação para averiguar a identidade do mesmo.

A mensagem, no entanto, parece ter sido ignorada pelos atacantes, que acabariam por realizar o mint de 1.59 mil milhões de tokens adicionais, num valor estimado de 253.9 milhões de dólares. No entanto, alguns analistas indicam que o número de tokens criados é mais elevado que o número de tokens PLA no mercado antes do ataque ter ocorrido, portanto estes teriam de ser vendidos a valores consideravelmente inferiores – se forem capazes de ser vendidos de todo.

Devido ao ataque, a PlayDapp terá suspendido todas as transações das suas plataformas, e encontra-se atualmente a congelar todas as movimentações. A entidade recomenda ainda que os utilizadores evitem realizar transações de tokens durante a investigação do incidente, e enquanto os sistemas se encontram a ser migrados para novos servidores seguros.

Embora as carteiras associadas ao roubo já estejam listadas em algumas das principais plataformas de criptomoedas no mercado, existem algumas movimentações que indicam que os atacantes terão começado a tentar realizar a lavagem dos fundos roubados.

14/02/2024
Fabricante de baterias Varta suspende produção após ataque informático

A empresa de fabrico de baterias VARTA AG confirmou ter sido alvo de um ataque informático, do qual terá sido necessário encerrar as atividades dos sistemas informáticos da empresa.

O ataque terá causado a paralisação das atividades da empresa, tanto a nível de suporte como a nível de produção, uma vez que a empresa foi obrigada a encerrar os seus sistemas para prevenir a expansão do ataque.

A VARTA é uma reconhecida marca de fabrico de baterias e outros componentes eletrónicos, sediada na Alemanha, e parcialmente detida pela Energizer Holdings. O ataque terá sido identificado no dia 12 de Fevereiro, quando parte dos sistemas da empresa ficaram inacessíveis.

A empresa ainda se encontra a investigar o incidente, e a analisar o possível impacto a nível dos sistemas afetados e dos dados presentes nos mesmos. Foi ainda referido que a empresa terá criado uma equipa dedicada para resolver a situação, e que entraram em vigor os planos de emergência para este género de ataques.

De momento ainda se desconhecem detalhes sobre o ataque, ou a origem do mesmo. Também se desconhece se dados da empresa podem ter sido comprometidos como parte do ataque.

14/02/2024
Malware Bubblebee volta ao ataque após quatro meses de “férias”

Depois de quase quatro meses em “férias”, o malware conhecido como Bumblebee voltou ao ataque. O mesmo encontra-se a focar em centenas de empresas, sobretudo nos EUA, em campanhas de phishing.

O malware Bumblebee foi inicialmente descoberto em Abril de 2022, e acredita-se que tenha ligações com os grupos Conti e Trickbot. O mesmo distribui-se sobretudo em campanhas de phishing, com foco em levar as vitimas a instalarem o malware no sistema, que procede com a descarga e instalação de outras variantes de malware.

De acordo com os investigadores da empresa de segurança Proofpoint, o malware manteve-se inativo desde Outubro de 2023, praticamente sem atividade. No entanto, durante o mês de Fevereiro, aparenta ter voltado com atividade, o que pode indicar algumas mudanças para este ano.

O malware propaga-se sobretudo sobre mensagens de email de phishing, onde as vitimas são encaminhadas para descarregarem algum conteúdo da internet – a maioria dos casos registados partem de mensagens falsas de “voicemail”.

Se os utilizadores acederem aos links para descarregar os conteúdos, são direcionados para plataformas de armazenamento cloud – nomeadamente o OneDrive – de onde começa o ataque.

O Bumblebee é normalmente vendido a criminosos que pretendem contornar algumas proteções dos sistemas para instalar malware diverso nos mesmos. Ou seja, diretamente o malware não aplica conteúdos maliciosos no sistema, mas pode levar a que estes sejam descarregados contornando medidas de segurança existentes.

13/02/2024
Bank of America alerta cliente para potencial roubo de dados

O Bank of América, uma das maiores entidades bancárias nos EUA, encontra-se a alertar os seus clientes para a possibilidade de dados pessoais dos mesmos terem sido comprometidos, depois de uma entidade terceira com a qual este trabalha ter sido atacada durante o ano passado.

Em causa encontra-se a empresa Infosys McCamish Systems (IMS), que durante o ano passado foi alvo de um ataque informático. Deste ataque, podem ter sido comprometidos alguns dados pessoais, de onde se encontram os de titulares de contas bancárias no “Bank of América”.

Entre os dados potencialmente comprometidos encontram-se nomes, moradas, emails, números de segurança social, datas de nascimento, dados financeiros e outros. Embora a entidade bancária não tenha indicado o número de clientes afetados, os documentos apresentados pela IMS às autoridades apontam que 57,028 clientes podem ter os dados comprometidos.

O ataque ocorreu no dia 3 de Novembro de 2023, sendo que, na altura, alguns dos sistemas da entidade ficaram inacessíveis. A 24 de Novembro, a entidade terá informado o Bank of America do potencial roubo de dados associados com clientes da instituição bancária.

Este ataque foi eventualmente reivindicado pelo grupo de ransomware LockBit, que prometeu disponibilizar os dados caso a entidade não realizasse o pagamento. Na mensagem, o grupo indica ainda que comprometeu mais de 2000 sistemas da entidade.

13/02/2024
18 hospitais na Roménia offline devido a ataque ransomware

Cerca de 18 hospitais na Roménia foram durante o início desta semana alvo de um ataque ransomware, que colocou em baixo a infraestrutura interna das organizações, usada para a gestão dos pacientes e outros tratamentos.

Durante o fim de semana, o sistema Hipocrate Information System (HIS), usado pelas entidades de saúde no pais, foi algo de um largo ataque externo, que terá comprometido o sistema e as informações presentes no mesmo. Derivado do ataque, o sistema teve de ser colocado offline, o que prejudicou as operações de pelo menos 18 hospitais na região.

O ataque terá sido identificado entre os dias 11 e 12 de Fevereiro, nos sistemas usados para a produção do HIS. Como parte do ataque, alguns dos conteúdos foram encriptados, e consequentemente, o sistema teve de ser colocado offline para prevenir danos maiores.

As autoridades afirmam que se encontra a ser feita a investigação do incidente, sendo também recomendado que não se tente entrar em contacto com os departamentos técnicos dos hospitais afetados, visto que se encontram a trabalhar para restaurar a normalidade.

Os 18 hospitais afetados podem igualmente ter contratempos a nível das suas tarefas diárias, sobretudo as que estariam dependentes do sistema HIS para funcionamento.

De momento ainda se desconhece se informação dos pacientes ou outros dados sensíveis podem ter sido recolhidos como parte do ataque.

12/02/2024
Existe uma nova ameaça para o sistema da Apple

Os utilizadores do macOS devem ficar atentos aos conteúdos que descarregam de fontes na internet. Uma nova campanha de malware, com foco em utilizadores do sistema da Apple, encontra-se a propagar em força sobre vários meios.

A campanha de malware tem vindo a propagar-se desde meados de Novembro de 2023, e normalmente ocorre como falsas atualizações para o Visual Studio. Os utilizadores são aliciados a instalar uma atualização para o programa, quando na realidade, encontram-se a instalar o malware nos seus sistemas.

O malware encontra-se desenvolvido na linguagem Rust, o que lhe permite ser compatível tanto com hardware Intel como ARM, incluindo os mais recentes processadores da Apple.

Este malware é conhecido como RustDoor, e de acordo com os investigadores da empresa de segurança Bitdefender, o mesmo usa a infraestrutura do grupo de ransomware ALPHV/BlackCat.

Uma vez instalado nos sistemas, este comunica com servidores em controlo dos atacantes, de onde recolhe os primeiros comandos para iniciar o ataque, e eventualmente, para onde envia os dados recolhidos dos sistemas infetados.

De notar que, apesar de o malware ter como foco roubar dados sensíveis dos utilizadores, não aplica a encriptação de conteúdos. Até ao momento, tendo em conta a forma como o sistema da Apple se encontra desenvolvido, não existem diretamente ferramentas capazes de encriptar conteúdos em massa dentro do sistema operativo da Apple.

No entanto, isso não coloca o malware como sendo menos perigoso, uma vez que pode levar ao roubo de informações sensíveis e de dados dos utilizadores, incluindo de contas online que o mesmo tenha salvaguardado no sistema.

Ao mesmo tempo, o malware instala também um backdoor no sistema operativo, o que permite aos criminosos realizarem mais ações no futuro sobre o sistema, entre as quais encontra-se a capacidade de enviar comandos remotos para várias tarefas dentro do sistema.

Os investigadores apontam que o malware tem vindo a ser distribuído desde o final de 2023, e que pode ter estado mais de três meses sem ser identificado. Apensa recentemente as campanhas começaram a ser notadas.

Desconhece-se também o número de utilizadores potencialmente afetados por este malware.

09/02/2024
Hyundai Motor Europe alvo de ataque de ransomware

A Hyundai Motor Europe é a mais recente empresa a ser alvo de um ataque de ransomware, tendo confirmado o ataque por parte do grupo Black Basta.

O grupo alega ter atacado a empresa, de onde foram recolhidos quase 3 TB de dados internos. Os dados podem incluir informação sensível da empresa, funcionários e dos seus clientes.

A Hyundai Motor Europe faz parte da Hyundai Motor Company, sendo responsável pelas atividades da empresa na zona europeia, e tendo sede na Alemanha. O ataque terá ocorrido em meados de Janeiro, depois de terem surgido rumores de falhas na rede interna da empresa.

Na altura, a empresa indicou que estaria a resolver os problemas verificados. No entanto, apenas de forma recente a entidade confirmou ter sido vítima de um ataque informático, de onde terão sido recolhidos dados internos da empresa, com recurso a ransomware.

A empresa indica que terceiros terão conseguido aceder à rede interna da empresa na Hyundai Motor Europe, de onde recolheram dados sensíveis. É ainda referido que as investigações do incidente ainda se encontram a decorrer, com a ajuda de fontes externas de cibersegurança. No entanto, as autoridades competentes foram alertadas para o ataque.

Apesar de a empresa não ter confirmado a origem do ataque, o mesmo já terá sido reivindicado pelo grupo de ransomware Black Basta, que afirma ter recolhido 3TB de dados da entidade.

De momento ainda se desconhecem detalhes concretos sobre os dados que foram roubados da empresa.

08/02/2024
Encriptação do BitLocker contornada por um Raspberry Pi de 10 euros

O Windows BitLocker é um sistema de encriptação, integrado com as versões mais recentes do Windows 10 e Windows 11. Este foi criado com o objetivo de fornecer uma camada adicional de segurança para os sistemas.

No entanto, o mesmo foi recentemente demonstrado como vulnerável a ataques, depois de um investigador ter usado um Raspberry Pi para contornar o sistema. O investigador, que também coloca os seus vídeos no YouTube sob o nome de stacksmashing, demonstrou como é possível usar um Raspberry Pi para intercetar as chaves do BitLocker, e obter assim acesso a sistemas encriptados com o mesmo.

Usando um Raspberry Pi Pico, o investigador de segurança demonstrou no seu mais recente vídeo como é possível usar o dispositivo para explorar uma falha no sistema TPM, de forma a obter as chaves de encriptação do BitLocker, o que teoricamente permite acesso aos conteúdos protegidos por esta encriptação.

Através deste método, o investigador foi capaz de obter a chave BitLocker Volume Master, que é necessária para desencriptar conteúdos das drives. No entanto, apesar de ter demonstrado a possibilidade para o ataque da falha, esta pode não se aplicar a todos os sistemas.

Isto porque a falha não pode ser explorada em sistemas com Firmware TPM (fTPM), que se encontra em muitos dos sistemas mais modernos no mercado. Com isto, apesar do potencial de ataque, a sua exploração pode ser mais complicada de ser feita em formato alargado.

07/02/2024
Falha crítica em pequeno programa afeta dezenas de distribuições Linux

Foi recentemente descoberta uma vulnerabilidade grave no Shim Linux bootloader, que pode afetar um vasto número de distribuições do Linux, e causar com que as mesmas possam ser comprometidas por atacantes.

O ataque explora uma falha no bootloader, que pode permitir a execução de código ainda antes do kernel carregar totalmente, o que contorna também algumas das medidas de segurança implementadas nos sistemas.

O Shim é um pequeno programa, usado para permitir a execução correta do Secure Boot em computadores com Unified Extensible Firmware Interface (UEFI). Este é fundamental para o correto arranque do sistema.

No entanto, o engenheiro da Microsoft, Bill Demirkapi, terá recentemente descoberto uma falha que, quando explorada, pode permitir que este pequeno programa seja usado para carregar código potencialmente malicioso, com o potencial de comprometer vários distros do Linux no mercado. A falha foi originalmente descoberta a 24 de Janeiro de 2024, com mais detalhes revelados publicamente a 2 de Fevereiro de 2024.

A correção do problema foi, entretanto, lançada, mas ainda pode demorar algum tempo para que seja implementada em todas as distribuições no mercado, o que pode deixar alguns sistemas vulneráveis durante algum tempo.

Os investigadores acreditam que a falha dificilmente será explorada de forma maliciosa em massa, tendo em conta que requer algumas configurações especificas de serem aplicadas. No entanto, como sempre, é recomendado que os utilizadores de distribuições Linux realizem a atualização dos seus sistemas o mais rapidamente possível.

07/02/2024
O estranho caso de 3 milhões de escovas de dentes a realizarem ataques DDoS

Atualmente existem milhares de dispositivos ligados na Internet das Coisas, que possuem uma ligação quase permanente à internet. E isto aplica-se até mesmo em objetos do dia a dia, como escovas dos dentes elétricas.

Existem no mercado escovas de dentes inteligentes, que contam com ligação para a internet, de forma a enviarem informações variadas sobre os seus usos. Como tal, terá sido certamente surpreendente quando o site Aargauer Zeitung publicou uma notícia, alegando que 3 milhões de escovas elétricas de uma marca teriam sido usadas para realizar um massivo ataque DDoS.

O artigo indicava que as escovas estariam baseadas em software Java, e que os atacantes terão infetado as mesmas com malware para realizar o ataque DDoS em larga escala. O artigo indicava mesmo que os atacantes teriam usado este sistema para realizar um ataque DDoS massivo contra um site na Suíça, que se manteve inacessível durante horas.

A história terá sido certamente cativante, e rapidamente vários sites de notícias começaram a publicar a mesma. No entanto, existe um ligeiro problema com a mesma – esta nunca aconteceu.

A empresa de segurança Fortnite, que foi indicada no artigo original como a que descobriu o malware, afirma não ter conhecimento de qualquer género de ataque realizado neste formato. Ao mesmo tempo, esta também afirma que não existe, até ao momento, conhecimento de uma rede botnet que tenha como origem escovas dos dentes.

Apesar de dispositivos da Internet das Coisas certamente terem a capacidade de realizarem ataques DDoS, caso seja explorados para tal, é altamente improvável que um sistema de escovas dos dentes tenha tal capacidade.

Algumas fontes acreditam que a história original terá sido tirada fora do conceito, ou exageradamente elaborada para dar mais destaque aos leitores, invés de contar com factos.

Além disso, não existem atualmente escovas elétricas no mercado que se interliguem diretamente com a Internet. Invés disso, as que existem usam Bluetooth para comunicarem com dispositivos externos, como os smartphones dos utilizadores, que depois são usados para enviar a informação para sistemas remotos.

Como sempre, é importante ter em conta a informação que é recolhida e a forma como a mesma é obtida. Muitas vezes, existem portais que optam por partilhar informação sem a devida análise da mesma, o que leva a que dados falsos possam ser transpostos para os leitores.

07/02/2024
Verizon confirma roubo de dados associados a funcionários

A Verizon, operadora norte-americana, confirmou que foi vítima de um ataque informático do qual foram recolhidos dados pessoais e sensíveis de milhares de funcionários.

De acordo com o comunicado da entidade, um ataque informático aos sistemas internos da empresa terá comprometido informação sensível dos funcionários da empresa. O ataque terá ocorrido a 21 de Setembro de 2023, quando um terceiro não autorizado obteve acesso aos sistemas internos da empresa, recolhendo dados do mesmo.

O acesso terá sido descoberto apenas a 12 de Dezembro de 2023, quase três meses depois de ter sido realizado. Após a investigação, foi descoberto que do ataque foram recolhidos dados pessoais de quase 63.206 funcionários.

Entre os dados encontram-se nomes, moradas, dados de contacto e de trabalho, bem como o número de segurança social e datas de nascimento. O ataque parece ter afetado apenas informação associada com funcionários, e não com os clientes.

A Verizon afirma que se encontra ainda a realizar a investigação do incidente, mas foram já aplicadas medidas para garantir mais segurança interna no acesso aos dados e aos seus sistemas. Ao mesmo tempo, a entidade refere ainda que não foram descobertos indícios que os dados roubados tenham sido colocados para venda.

Os funcionários afetados irão receber dois anos de proteção de identidade e monitorização de atividades de crédito fraudulentas, como parte das medidas internas da empresa para regularizar o ataque e os danos causados.

Como referido anteriormente, o ataque aparenta ter sido centrado apenas em dados dos funcionários da empresa, sendo que os dados dos clientes não foram de nenhuma forma afetados.

06/02/2024
AnyDesk confirma ter sofrido ataque informático em sistemas centrais

A aplicação AnyDesk, conhecido software de controlo remoto de sistemas, confirmou recentemente ter sido vitima de um ataque informático, que terá comprometido alguns dos principais sistemas da entidade.

De acordo com o comunicado da empresa, alguns dos sistemas em produção da mesma foram alvo de um ataque, de onde podem ter sido roubadas informações importantes.

A aplicação é mais usada no meio empresarial, como forma de permitir aos administradores de redes controlarem remotamente os sistemas. No entanto, também possui a sua utilização pelo meio doméstico, como forma de rápido controlo de sistemas remotamente.

A AnyDesk confirmou ter sido vitima do ataque, que terá sido descoberto durante uma investigação feita a alguns dos sistemas da empresa. Nos mesmos, foram identificados sistemas comprometidos, dos quais os atacantes teriam controlo.

A empresa não revelou detalhes sobre o ataque, indicando apenas que não seria relacionado com ransomware. O comunicado da mesma apenas referiu os procedimentos tomados como resposta ao incidente, e não detalhes sobre o mesmo.

Ao mesmo tempo, a empresa refere ainda que o AnyDesk continua seguro para ser usado, e que nenhum cliente final foi afetado pelo ataque, ou os sistemas onde o programa se encontra instalado.

No entanto, a empresa recomenda que os utilizadores verifiquem se estão a usar a versão mais recente da aplicação, que conta com um certificado de segurança atualizado.

Esta indicação levanta a possibilidade de que os antigos certificados da empresa, usados para assinar a aplicação do AnyDesk, podem ter sido comprometidos. Isto permite aos atacantes criarem software que pode fazer-se passar como assinado digitalmente pela AnyDesk.

Apesar de a empresa garantir que nenhum token de sessão foi comprometido, a empresa encontra-se a realizar o reset de todas as senhas das contas de cliente dos utilizadores, para prevenir que as mesmas possam ser usadas. Ao mesmos tempo, a empresa garante que o seu sistema encontra-se desenvolvido de tal forma que os tokens não se encontra nos sistemas da empresa, e sim nos dispositivos onde a aplicação se encontra.

Desconhece-se quando o ataque terá ocorrido, mas algumas fontes indicam que o portal web da empresa esteve inacessível desde o dia 29 de Janeiro, altura em que deixou de ser possível realizar o login nas contas dos utilizadores. Tendo em conta a confirmação agora deixada, é possível que o ataque tenha ocorrido por esta altura.

A AnyDesk afirma que o portal web da empresa vai continuar inacessível ou em manutenção, com algumas falhas de acesso previstas, durante os próximos dias. No entanto, os utilizadores ainda podem usar as suas contas e o software na normalidade.

Além disso, a empresa garante que esta inacessibilidade não se encontra relacionada com o ataque, mas sim com uma manutenção prevista para o sistema.

Como sempre, apesar de a empresa garantir que as senhas dos clientes não foram afetadas, é recomendado que os utilizadores atualizem as mesmas assim que possível, bem como em outros locais onde essa mesma senha tenha sido usada.

04/02/2024
Maior banco da China evitou ransomware… por usar servidor desatualizado

O Banco Industrial e Comercial da China, ICBC, é considerado uma das maiores entidades bancárias no mercado a nível de ativos. Faz alguns meses, a entidade sofreu um ataque informático, onde ransomware terá sido instalado nos sistemas da mesma.

Apesar de o ataque ter sido rapidamente contido, isto não terá ocorrido porque a entidade financeira estaria a usar práticas de segurança adequadas e recentes… mas sim exatamente o oposto. O ataque apenas foi contido rapidamente porque o sistema afetado pelo ransomware estaria consideravelmente obsoleto.

Não é a primeira vez que existem histórias de sistemas considerados como “fundamentais” que se encontram em sistemas bastante antigos, muitas vezes com décadas sem atualizações. Isto nem sempre é considerado seguro, mas para o caso da ICBC pode ter sido uma ajuda.

Os ataques de ransomware possuem apenas um objetivo: levar ao bloqueio dos ficheiros nos sistemas infetados, obrigando as entidades a pagarem caso pretendam voltar a ter acesso aos mesmos. Em alguns casos, esses conteúdos são roubados antes de serem encriptados, para levar as vítimas a terem ainda mais tendência a pagar – ou podem ter os dados publicamente divulgados.

No caso da ICBC, a entidade foi alvo de um ataque de ransomware pelo grupo Lockbit. No entanto, este não terá sido mais grave porque os sistemas afetados estariam consideravelmente desatualizados.

A entidade usava um servidor extremamente antigo, da fabricante Novell, o qual se encontrava com o seu próprio sistema operativo Novell NetWare. Este sistema possui mais de 20 anos, sendo que a marca Novell não se encontra no mercado faz mais de dez anos.

O único motivo pelo qual o ransomware não terá causado mais estragos dentro da entidade será porque o mesmo não estava preparado para encontrar um sistema tão antigo. Quando este tentou correr dentro do Novell NetWare, o mesmo simplesmente falhou, uma vez que o malware não estaria preparado para este sistema.

Neste caso em particular, isso pode ter ajudado a prevenir que o ataque tivesse dimensões mais elevadas, e teoricamente, pode ter sido considerada uma proteção contra o mesmo. No entanto, de longe, usar um sistema antigo não é de todo recomendado, visto existirem outras falhas que podem ser exploradas para ataques em larga escala.

Ao mesmo tempo, é importante ter em conta que este ataque também demonstrou que a entidade necessita de atualizar os seus sistemas, já que os atacantes terão acedido ao sistema interno da entidade explorando uma falha do Citrix Bleed, que era conhecida faz mais de um mês antes do ataque.

02/02/2024
Europcar nega ter sido vítima de roubo de dados

Durante o dia de hoje, foi partilhado num fórum da dark web uma base de dados associada com a empresa Europcar, reconhecida entidade de aluguer de viaturas.

A publicação indicava que a base de dados possuía informação de 48,606,700 clientes, incluindo nomes, emails, moradas e outras informações pessoais. Além dessa informação, era ainda fornecido um sample dos dados roubados, demonstrando alguns dos detalhes que estariam na base de dados final para venda.

Apesar da informação fornecida, a Europcar nega que tenha sido vítima de um ataque, tendo referido ao portal BleepingComputer que os dados divulgados não são verdadeiros. Em comunicado, a empresa afirma ter analisado a informação partilhada, juntamente com os dados dos seus sistemas, tendo chegado à conclusão que os dados não correspondem a clientes da mesma.

A entidade afirma que existem vários erros na informação fornecida sobre a base de dados, tanto que os próprios emails não dizem respeito a nenhum dos clientes da marca. Ao mesmo tempo, esta afirma que as moradas e nomes parecem ter sido criados com alguma plataforma como o ChatGPT, não sendo coerentes.

No entanto, de acordo com o analista Troy Hunt, apesar de muita informação existente na base de dados ser claramente falsa, o mesmo não acredita que os dados tenham sido criados usando IA, mas possivelmente podem ter sido recolhidos de outras plataformas ou leaks – ou até mesmo de entidades terceiras com ligação à empresa base.

Ao mesmo tempo, o analista aponta que apesar de a base de dados até poder ser fabricada, ainda existe informação potencialmente sensível na mesma, nomeadamente de emails que o mesmo validou como estando associados com outros leaks.

O mesmo sublinha ainda que a referência aos conteúdos terem sido criados por IA terá sido apenas uma “ideia” da empresa para aproveitar o tema atualmente em foco por vários mercados, não existindo qualquer prova de que a informação tenha sido criada por este meio.

31/01/2024
Pagamentos de ransomware estão a ser cada vez menos realizados

Os ataques de ransomware continua a encontrar-se em força pelo mercado, mas ao mesmo tempo, os criminosos encontram-se a receber cada vez menos receitas dos ataques.

De acordo com os dados da empresa Coveware, os pagamentos relacionados com ransomware encontram-se a atingir valores mínimos históricos, com cada vez menos vítimas a realizarem os pagamentos.

Apenas no último trimestre de 2023, os pagamentos associados com estes ataques caíram para apenas 29%, depois de terem estado em queda considerável nos meses anteriores.

Em meados de 2019, cerca de 85% dos ataques levavam a pagamentos das vítimas, mas este valor caiu para apenas 46% em meados de 2021. A queda tem vindo a manter-se durante os meses seguintes, atingindo agora valores recorde.

De acordo com a Coveware, existem algumas razões para tal. Uma delas encontra-se na melhor preparação das empresas contra este formato de ataques – embora ainda existam algumas entidades que descuidam esta proteção, existe um maior interesse das mesmas em proteger os seus dados.

Ao mesmo tempo, junta-se ainda o facto que, em alguns países, passou a ser ilegal realizar o pagamento de resgates de ransomware, o que também desmotiva as entidades a realizarem os mesmos com a possibilidade de serem aplicadas coimas ainda mais avultadas.

Existe ainda a questão de que nem todas as entidades confiam nos atacantes, que podem sempre receber os pagamentos e continuar a publicar os dados roubados – algo que não é inédito de ocorrer.

Além de existir uma queda nas entidades que optam por pagar, também se verificou uma queda no valor médio que é pago aos criminosos. A média no último trimestre de 2023 encontrava-se em 568.705 dólares por ataque, uma queda de 33% face ao trimestre anterior.

As previsões apontam que estes valores devem continuar em queda durante os próximos tempos, mesmo que ataques ransomware ainda estejam a ser realizados de forma praticamente diária.

30/01/2024
Schneider Electric pode ter sido alvo de ataque ransomware

A empresa do ramo da eletricidade Schneider Electric foi recentemente alvo de um ataque informático, de onde podem ter sido roubados dados internos e de clientes.

De acordo com algumas fontes, o ataque terá sido realizado pelo grupo conhecido como Cactus, e terá sido no formato de ransomware, pelo que além do roubo de dados, os conteúdos terão ainda sido encriptados para prevenir o acesso.

O ataque terá ocorrido na divisão de sustentabilidade da empresa, no passado dia 17 de Janeiro de 2024. O ataque terá ainda afetado alguns dos sistemas cloud internos da entidade, alguns dos quais ainda apresentam falhas atualmente.

O grupo de ransomware terá, alegadamente, roubado vários TB de dados internos da empresa, e encontra-se agora em negociações para evitar que os mesmos sejam publicados – com a exigência de pagamento da entidade para tal.

De momento ainda se desconhecem os dados concretos que foram roubados da entidade, mas acredita-se que podem englobar tanto projetos e planos internos da empresa, como também dados de clientes e parceiros da mesma, sobretudo os que atuam diretamente com a divisão afetada.

Por entre a informação podem encontrar-se dados sensíveis tanto da empresa como dos parceiros. De momento ainda se desconhece se a empresa irá pagar o resgate, mas caso tal não aconteça, existe uma forte possibilidade de os dados virem a ser publicados no site do grupo de ransomware na rede Tor, ficando assim acessíveis para todos.

De relembrar que a Schneider Electric já tinha sido afetada no passado por um ataque de ransomware, do grupo Clop, que terá explorado uma falha na plataforma MOVEit para atacar mais de 2700 empresas.

30/01/2024
Vulnerabilidades em sistemas Jenkins pode levar a ataques

Os administradores de instalações Jenkins devem atualizar para a versão mais recente do software o mais rapidamente possível, derivado da descoberta de várias falhas graves na mesma que podem levar a ataques em larga escala.

Jenkins é um popular software open source de automação no desenvolvimento de software, usado por várias entidades para integrar mudanças no código das suas aplicações. Este é fundamental como parte do desenvolvimento de muito software no mercado, e como tal, é usado tanto por grandes empresas como pequenas startups.

No entanto, a empresa de segurança SonarSource revelou recentemente ter descoberto uma falha no software, que pode permitir aos atacantes acederem a dados no servidor e executarem comandos sobre o mesmo com potencial de roubo de dados.

A primeira falha (CVE-2024-23897) foi classificada como crítica, e permite aos atacantes lerem conteúdos dentro dos servidores com o software, o que pode dar acesso a informação sensível.

Ao mesmo tempo, a falha pode ainda ser explorada para aumentar privilégios no sistema, e permitir aos atacantes obterem acesso à conta de administrador do sistema, com permissões para envio de comandos remotos no servidor.

Ao mesmo tempo, os investigadores revelaram ainda uma segunda falha de segurança, que pode permitir aos atacantes executarem código malicioso nos servidores, bastando a um utilizador com permissões elevadas aceder a um link maliciosamente criado para explorar a falha.

A correção de ambas as falhas foram lançadas a 24 de Janeiro de 2024, com as versões 2.442 e LTS 2.426.3, no entanto, ainda existem vários sistemas que se encontram vulneráveis a este ataque, sendo da responsabilidade dos administradores atualizarem o mais rapidamente possível.

De notar que, tendo em conta que muitas das provas de conceito das falhas foram já validadas, existe o potencial dos atacantes começarem a explorar as falhas em sistemas desatualizados.

29/01/2024
Site do Tribunal da Relação de Lisboa alvo de ataque informático

Durante o dia de ontem, o site do Tribunal da Relação de Lisboa (TRL) foi alvo de um ataque informático, tendo apresentado mensagens de cariz sexual durante várias horas.

O site esteve durante algumas horas a apresentar mensagens ofensivas e de cariz sexual, num aparente “deface” do mesmo. O ataque levou a que fosse possível enviar conteúdos para o site, apresentando essa informação publicamente.

O Tribunal da Relação de Lisboa (TRL) já confirmou o ataque, tendo referido que o problema estaria a ser investigado. As autoridades foram igualmente notificadas, mas ainda se desconhece a origem do ataque.

Tendo em conta as mensagens partilhadas, aparenta tratar-se de um ataque de oportunidade, possivelmente derivado de falhas existentes na plataforma, e não de um ataque direto para a entidade.

Juntamente com as mensagens de cariz sexual, o site estaria ainda a apresentar links para sites com conteúdos de adulto, reforçando a ideia que terá sido derivado de um ataque de oportunidade a alguma falha no mesmo.

Atualmente o site encontra-se inacessível, apresentando uma mensagem de erro no carregamento.

26/01/2024
Vulnerabilidade em plugin do WordPress pode afetar um milhão de sites

Os utilizadores do WordPress devem ficar atentos aos plugins que possuem ativos nos seus sites e por vulnerabilidades nos mesmos, e recentemente, foi descoberto um que se encontra instalado em mais de um milhão de sites.

O plugin “Better Search Replace” é usado para facilitar a migração de domínios em sites WordPress, ajudando a alterar os registos da base de dados do site para o novo endereço. No entanto, uma falha recentemente descoberta pode colocar em risco a instalação dos sites.

Este plugin encontra-se atualmente ativo em mais de um milhão de sites, pelo que o potencial de ataque é bastante elevado. A empresa responsável pelo desenvolvimento do mesmo, a WP Engine, revelou ter lançado uma atualização na semana passada – a versão 1.4.5 – que corrige uma grave falha de segurança no mesmo.

Esta falha, se explorada, pode permitir a execução de código malicioso nas instalações do site, e consequentemente, pode levar a que o site fique comprometido, juntamente com as suas informações.

De acordo com a empresa de segurança Wordfence, desde que a falha foi confirmada publicamente, já foram identificados mais de 2500 ataques a sites WordPress para tentar explorar a mesma.

O problema encontra-se em todas as versões anteriores à 1.4.4, sendo que os administradores são aconselhados a atualizarem para a versão mais recente o mais rapidamente possível.

Atualmente, de acordo com os dados do site da WordPress, o plugin encontra-se ativo na versão 1.4 em 81% das suas instalações, deixando assim um elevado número de sites potencialmente vulneráveis.

25/01/2024
HPE confirma que grupo russo acedeu a e-mails internos da empresa

A Hewlett Packard Enterprise (HPE) confirmou que um grupo de hackers com origem na Rússia, conhecido como “Midnight Blizzard”, terá conseguir obter acesso aos sistemas de email da empresa, que se encontravam alojados na plataforma do Microsoft 365.

De acordo com o comunicado da empresa, o grupo terá conseguido aceder a várias contas de emails da entidade, e procedeu com a recolha de dados sensíveis da equipa de cibersegurança da entidade e de vários outros departamentos da mesma.

O grupo Midnight Blizzard é bem conhecido dos investigadores de segurança, tendo também atuado sobre outros nomes como Cozy Bear, APT29 e Nobelium. O grupo possui ligações com o governo russo, e terá suporte do mesmo para realizar vários ataques, a maioria com fins de espionagem e recolha de informações.

Nos documentos entregues às autoridades dos EUA sobre o ataque, a HPE confirma ter sio notificada do acesso no dia 12 de Dezembro, embora os atacantes tenham acedido muito antes disso, desde Maio de 2023.

A entidade afirma acreditar que o roubo terá ocorrido de um número limitado de contas de funcionários e executivos da HPE, mas ainda assim contendo informação potencialmente sensível da empresa e de clientes, bem como de projetos da mesma.

A HPE afirma que ainda se encontra a investigar o incidente, e irá contar com a ajuda das autoridades para tal. No entanto, a empresa alega que os atacantes podem ter obtido acesso através de um ataque realizado antes de Maio de 2023, e que afetou um sistema SharePoint da mesma – de onde foram também recolhidos dados internos.

É importante relembrar que, também recentemente, a Microsoft confirmou que o mesmo grupo terá conseguido obter acesso a algumas contas de email de executivos da entidade, recolhendo informação presente nas mesmas – que inclui dados da Microsoft e dos seus funcionários. No caso da Microsoft, o acesso terá sido originado de uma conta incorretamente configurada de teste, a qual permitiu um acesso direto a outras contas da instituição.

24/01/2024
X começa a testar sistema de passkeys nos EUA

Depois da conta da SEC dos EUA ter sido alvo de um ataque, onde terceiros terão conseguido aceder à mesma e enviaram mensagens falsas, agora a X, antigo Twitter, encontra-se a integrar uma nova funcionalidade de segurança na sua plataforma.

Os utilizadores nos EUA e iOS podem agora usar o sistema de passkeys para acederem às suas contas. Com esta funcionalidade, é possível adicionar uma camada de segurança às contas na plataforma, e será uma alternativa para o agora descontinuado sistema de autenticação em duas etapas via SMS das contas gratuitas.

Com esta funcionalidade, os utilizadores podem usar as passkeys existentes no iOS para rapidamente acederem às suas contas, autenticando o acesso nas mesmas de forma segura e prática. Esta medida é vista como uma alternativa ao método de autenticação em duas etapas via SMS, que ainda se encontra suportado para utilizadores de contas Premium – embora não seja mais recomendado.

De relembrar que as passkeys foram criadas pela FIDO Alliance, com a ideia de fornecer um meio mais rápido e seguro de login em contas online, sem a necessidade de senhas. Este sistema usa dispositivos de autenticação biométrica ou facial para identificar os utilizadores e realizar o login nas suas contas.

Várias plataformas e serviços começaram a suportar sistemas de autenticação via passkeys, e espera-se que este venha a ser integrado em ainda mais plataformas no futuro.

24/01/2024
Coreia do Norte acusada de usar IA para ataques informáticos

As autoridades da Coreia do Sul afirmam que existem grupos de hackers na Coreia do Norte, que se encontram a usar Inteligência Artificial para realizar ataques massivos digitais e para realizar várias atividades ilegais no meio digital.

À agência Yonhap, um funcionário não identificado do Serviço Nacional de Inteligência da Coreia do Sul terá indicado que existem fortes indícios do uso de IA por parte das forças da Coreia do Norte, que aumentam consideravelmente o potencial de ataques e o impacto dos mesmos.

A mesma fonte afirma ainda que foram realizadas mais 36% de tentativas de ataque à Coreia do Sul em comparação com 2022, sendo que 80% dos mesmos tiveram origem na Coreia do Norte, e 5% da China.

Além disso, o Serviço Nacional de Inteligência da Coreia do Sul afirma ainda que as autoridades da Coreia do Norte encontram-se a contratar programadores e empresas estrangeiras, com o objetivo de levar as mesmas a instalar código malicioso nas suas criações, com foco em levar ao roubo de criptomoedas.

O uso de IA em ataques informáticos tem vindo a ser uma das preocupações dos especialistas, e pode abrir as portas a novas formas de ataques sofisticados.

24/01/2024
$Ataques de ransomware exploram fraca segurança em instalações do TeamViewer$

Ataques de ransomware exploram fraca segurança em instalações do TeamViewer

$Ataques de ransomware exploram fraca segurança em instalações do TeamViewer$

Um grupo de investigadores da empresa de segurança Huntress revelou recentemente a descoberta de um novo formato de ataque, que se encontra a explorar instalações inseguras do TeamViewer.

O TeamViewer é uma popular aplicação de acesso remoto, que permite aos utilizadores acederem rapidamente aos seus sistemas ou para fornecer suporte a outros utilizadores de forma mais simples, como se estivessem ao lado dos mesmos.

No entanto, recentemente a aplicação tem vindo a ser usada para a realização de ataques. Os investigadores descobriram que existem atacantes a procurarem instalações vulneráveis da aplicação, para obterem acesso aos sistemas e infetarem os mesmos com malware ou para acederem diretamente a dados sensíveis.

Os principais alvos são sobretudo empresas, onde os atacantes tentam obter acesso a outros sistemas na mesma rede, e recolher dados internos e de clientes. Quando os dados são recolhidos, os atacantes instalam ransomware num dos sistemas, com a intenção de bloquear todas as máquinas dentro da mesma rede.

Este género de ataques não se encontra relacionado com falhas diretas no TeamViewer, mas sim com erros na forma como as instalações são configuradas. Em muitos casos, os utilizadores optam por usar configurações simples e de fraca segurança, o que deixa em aberto a possibilidade de se aceder ao sistema remotamente.

De notar ainda que este género de ataques não é inteiramente novo. Existem vários registos de ataques que foram levados a cabo usando softwares de controlo remoto incorretamente configurados, ou com fracas medidas de segurança aplicadas.

Caso tenha uma aplicação deste género no seu sistema, recomenda-se que garanta que todos os acessos são controlados e que usa medidas de segurança para evitar acessos de terceiros indesejados.

23/01/2024
Malware para macOS usa registos DNS para atacar sistemas

Recentemente foi descoberta uma nova técnica, usada por hackers para roubarem fundos de carteiras de criptomoedas de utilizadores no macOS, usando apps maliciosas e registos DNS no processo.

A campanha encontra-se focada para utilizadores do macOS Ventura e mais recente, sobretudo para quem tende a descarregar apps pirateadas de sites na internet.

De acordo com os investigadores da Kaspersky, foi recentemente descoberta uma campanha que usa este género de aplicações para infetar os sistemas das vítimas, levando a que sejam roubados dados sensíveis das mesmas. A maioria faz-se passar por ativadores de software diverso.

Quando a aplicação é executada, requer que os utilizadores coloquem as suas senhas de administrador do sistema, a partir do qual se leva ao início do roubo de dados – caso esta senha seja introduzida.

O malware começa por contactar o servidor de controlo dos atacantes, de onde recebe os comandos necessários para proceder com o ataque e o download de aplicações adicionais para levar a cabo o mesmo.

Curiosamente, os investigadores descobriram que o método de contacto com o servidor dos atacantes é feito de uma forma peculiar, usando os registos TXT de um domínio para obter os detalhes de acesso e os comandos.

Usando este método, o malware é capaz de se ocultar mesmo em redes que estejam ativamente monitorizadas, fazendo-se passar por um simples pedido de DNS.

Uma vez instalado no sistema, o malware tenta obter acesso a carteiras de criptomoedas, roubando os fundos das mesmas, bem como recolher os dados de login que se encontrem guardados no sistema.

Como sempre, os utilizadores devem ter extremo cuidado no download de aplicações de fontes desconhecidas, ainda mais de programas pirateados, regularmente a fonte de origem para distribuição de malware.

23/01/2024
SEC confirma que roubo da conta na X ocorreu devido a ataque de SIM Swapping

A conta da SEC, dos EUA, dentro da plataforma X foi recentemente alvo de um ataque, tendo sido usada para partilhar falsas informações relativamente à aprovação das ETFs de Bitcoin no continente.

O ataque terá ocorrido durante a semana passada, mas agora conhecem-se mais detalhes sobre o sucedido. De acordo com o comunicado da SEC, a conta terá sido alvo de um ataque de SIM swapping, que terá levado a que os atacantes obtivessem acesso à mesma.

A entidade afirma que o atacante terá conseguido obter acesso ao número de telefone associado com a conta, e conseguiu igualmente obter um SIM duplicado do mesmo para recuperar a senha de acesso. Com isto, foi possível obter o acesso à conta e enviar a mensagem falsa na altura.

Ironicamente, apesar de a mensagem partilhada na conta ter sido falsa na altura em que foi criada, a aprovação das ETFs viria a ocorrer um dia depois do sucedido.

Quando os atacantes obtiveram o número de telefone associado com a conta da X, estes terão realizado o reset da senha, e assim conseguiram aceder à mesma. A SEC afirma que vai continuar a trabalhar com as autoridades para identificar a origem do ataque e o seu autor.

Além disso, a SEC afirmou ainda que a autenticação em duas etapas não se encontrava ativa na conta, uma vez que a entidade teria pedido à X para remover o mesmo, devido a problemas no login. No entanto, mesmo que a Autenticação em duas etapas estivesse ativa, os atacantes ainda poderiam obter acesso à conta, caso realizarem a verificação do código único via SMS.

23/01/2024
Trezor confirma roubo de dados de 66 mil clientes

A entidade Trezor deixou um alerta para os utilizadores da sua plataforma, derivado de um ataque no seu portal de suporte, que pode ter comprometido alguma informação pessoal de milhares de utilizadores.

De acordo com o comunicado da entidade, o ataque ocorreu no dia 17 de Janeiro, onde um terceiro não autorizado terá obtido acesso ao portal de suporte da empresa, e consequentemente, aos tickets e informações de clientes.

A popular carteira física de criptomoedas afirma que o ataque terá comprometido informação de utilizadores que entraram em contacto com o suporte da mesma. No entanto, os dados das carteiras não foram afetados, nem qualquer outra informação relativa aos fundos dos clientes.

A empresa garante que todos os dispositivos da mesma encontra-se seguros, e todos os fundos nos mesmos não foram adulterados de nenhuma forma. No entanto, a empresa afirma que dados pessoais de 66.000 utilizadores podem ter sido comprometidos, de quem tenha contactado o suporte da empresa em Dezembro de 2023.

Entre os dados comprometidos encontram-se nomes, nicks de utilizador, emails, moradas, números de telefone e outra informação pessoal que tenha sido partilhada nos tickets com agentes de suporte.

Infelizmente, a empresa afirma ainda ter identificado 41 casos onde os dados terão sido usados para atividades maliciosas, sobretudo como forma de phishing contra as vítimas. Os atacantes terão usado a informação para tentar obter os seeds das carteiras das vítimas, o que iria permitir o acesso aos fundos das mesmas.

A empresa recomenda os clientes afetados a terem extremo cuidado com as mensagens de email que possam receber, alegando ser da entidade. Ao mesmo tempo, a seed das carteiras deve ser sempre mantida de forma segura, sendo que nunca é requerida por qualquer entidade, nem mesmo a Trezor.

22/01/2024